三層專線接入方法、裝置及系統的制作方法

專利名稱：三層專線接入方法、裝置及系統的制作方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種三層專線接入方法、裝置及系統。
背景技術：
專線(LeasedLine)業務是指將寬帶遠程接入服務器的某個接口或者接口下 的某些虛擬局域網(virtual local area network, VLAN) /永久虛通3各(permanent virtual channel, PVC )整體出租給用戶使用的業務。 一條專線下可以接入用戶的 多個終端，但是在寬帶遠程接入服務器上只表現為一個用戶。根據專線接入的 組網方式以及業務的處理方式，專線可以分為二層專線、三層專線。下面分別 進行介紹
二層專線是指用戶通過二層交換機連接到寬帶遠程接入服務器的某個接口 或者某個接口的VLAN (虛擬局域網)/PVC (永久虛電路)，使該VLAN/PVC成為 該用戶的專線。寬帶遠程接入服務器通過DHCP協議為用戶終端動態分配IP地 址。這種情況下，二層交換機設備無法對專線內各個終端進行路由控制和業務 權限控制。
三層專線是指用戶通過路由器等三層設備連接到寬帶遠程接入服務器，該 三層設備置有至少一個出接口 ；在所述三層設備的內部可以將所述若干個出接 口劃分成一組，組成一個VLAN (虛擬局域網)/PVC;用戶的終端與VLAN (虛擬 局域網)/PVC連接；該VLAN (虛擬局域網)/PVC為該用戶的專線；所述三層設 備能夠為用戶終端分配IP地址，對專線內各個終端進行路由控制和業務權限控 制。
在實現本發明的過程中，發明人發現釆用現有的二層專線技術，存在可管理性/安全性較差；而釆用三層專線技術，則因為三層設備需要固定占用一個IP 地址，造成了 IP地址的浪費。

發明內容
一方面，本發明實施例提供一種三層專線接入方法，解決了現有技術可管 理性/安全性差，以及IP地址浪費的問題。
為達到上述目的，本發明實施例采用以下技術方案 一種三層專線接入方法，包括 接收專線用戶的三層設備發送的上線請求； 根據所述上線請求對所述三層設備進行認證； 認證通過后，為所述三層設備動態分配IP地址。
一方面，本發明實施例提供一種接入裝置，解決了可管理性/安全性差，以 及IP地址浪費的問題。
為達到上述目的，本發明實施例采用以下技術方案 一種接入裝置，包括
接收模塊，用于接收專線用戶的三層設備的上線請求；
認證模塊，用于根據所述接收模塊接收的上線請求對所述三層設備進行認
證；
地址分配模塊，用于在所述認證模塊對所述三層設備認證通過后，為所述三 層設備動態分配IP地址。
另一方面，本發明實施例提供一種三層專線接入系統，解決了可管理性/安 全性差，以及IP地址浪費的問題。
為達到上述目的，本發明實施例釆用以下技術方案
一種三層專線接入系統，包括專線用戶的三層設備和寬帶遠程接入服務器；
所述專線用戶的三層設備，用于向所述寬帶遠程接入服務器發送動態主機
配置協議DHCP上線請求；
所述寬帶遠程接入服務器，用于接收專線用戶的三層設備發送的動態主機
配置協議DHCP上線請求，對所述三層設備進行認證；認證通過后，為所述三層 設備動態分配IP地址。
本發明實施例在三層設備發出上線請求后，對其進行認證，不但保證了三 層設備的安全性，而且便于寬帶遠程接入服務器對所有的三層專線進行統一的 帶寬控制、QoS策略、流量統計、按照目的地址計費等。認證通過后，由寬帶遠 程接入服務器為三層設備分配IP地址。下線后，該三層設備釋放所述IP地址； 克服了三層設備固定占用一個IP地址的問題，節省了 IP地址資源。


圖1為本發明實施例三層設備上線流程圖2為本發明實施例PPP方式下對三層設備進行認證流程圖3為本發明實施例PPP方式下為三層設備動態分配地址流程圖4為本發明實施例接收三層設備DHCP方式上線請求流程圖5為本發明實施例DHCP方式下對三層設備進行認證流程圖6為本發明實施例接入裝置結構圖7為本發明實施例認證模塊結構圖8為本發明實施例地址分配模塊結構圖9為本發明實施例三層專線接入系統組網圖。
具體實施例方式
為了解決現有技術可管理性/安全性差，以及IP地址浪費的問題，本發明實施例提供一種三層專線接入方法。如圖1所示，本發明實施例三層專線接入
方法包括
101、 接收專線用戶的三層設備發送的上線請求；所述三層設備可以是路由 器、ATM交換機；
102、 根據所述上線請求對所述三層設備進行認證；
103、 認證通過后，為所述三層設備動態分配IP地址。 本發明實施例有兩種應用場景1、通過PPP方式進行接入；2、利用DHCP
協議進行接入；下面對本發明實施例三層專線接入方法的兩種場景分別進行詳 細i兌明
1、通過PPP方式進行接入
在PPP場景下，寬帶遠程接入服務器接收到專線用戶的三層設備通過鏈路 控制協議發出的上線請求之后，做出回應，向所述三層設備發送配置成功信息 包。
如圖2所示，在PPP場景下，根據三層設備的上線請求對所述三層設備進 行認證的步驟包括
201、 寬帶遠程接入服務器向三層設備發出身份認證要求； 所述身份認證要求即是要三層設備向寬帶遠程接入服務器發送該三層設備
的用戶名和口令。
202、 三層設備向寬帶遠程接入服務器發送用戶名和口令；
203、 寬帶遠程接入服務器對三層設備進行身份認證； 寬帶遠程接入服務器接到三層設備發送的用戶名和口令后，將所述用戶名
和口令與寬帶遠程接入服務器本地數據庫中的用戶名和口令信息進行比對，假 如對比正確，則身份認證成功；假如對比不符，寬帶遠程接入服務器則拒絕為所述三層設備分配IP地址。
如圖3所示，在PPP場景下，為所述三層設備動態分配IP地址的步驟包括:
301、 寬帶遠程接入服務器為三層設備動態分配IP地址； 寬帶遠程接入服務器調用互聯網控制協議為三層設備動態分配IP地址；
302、 寬帶遠程接入服務器將IP地址發送給三層設備。 2、利用DHCP協議進行接入
如圖4所示，利用DHCP協議進行接入時，接收專線用戶的三層設備發送的 DHCP上線請求的步驟包括
401、 局域網交換機接收三層設備的上線請求； 上線請求為動態主機配置協議報文。
402、 局域網交換機在所述上線請求中添加動態主機配置協議的0ption82屬
性；
當局域網交換機接收到三層設備的動態主機配置協議報文后，局域網交換機
獲取該三層設備與自身所連接的端口 ，和該端口所屬的VLAN;將所述端口和VLAN 信息添加到動態主才幾配置協i義才艮文的0ption82。
403、 局域網交換機將所述添加了 DHCP 0ption82屬性的上線請求轉發給寬 帶遠程接入服務器；
404、 寬帶遠程接入服務器接收所述添加了 DHCP 0ption82屬性的上線請求。 如圖5所示，利用DHCP協議進行接入時，根據DHCP上線請求對所述三層
設備進行認證的步驟包括
501、寬帶遠程接入服務器接收到所述添加了 DHCP Option82屬性的三層設 備的上線請求后，向遠程用戶撥號認證服務器發出對所述三層設備的認證請求；
5 02 、遠程用戶撥號認證服務器根據所述認證請求對所述三層設備進行認證。
利用DHCP協議進行接入時，認證通過后，為所述三層設備動態分配IP地
址的步驟包括
若認證通過，遠程用戶撥號認證服務器向寬帶遠程接入服務器發送認證通過 報文，該報文包括為所述三層設備分配的IP地址Framed-IP-Address以及指向 用戶終端網,殳的i 各由Framed-Route;
/人戶斤述i/^正通過才艮文中^是耳又Framed—IP—Address, ^奪Framed—IP—Address添力口至)j 動態主機配置協議才艮文，并向所述三層設備發送所述動態主機配置協議報文。
利用DHCP協議進行接入時，若認證未通過，遠程用戶撥號認證服務器向寬 帶遠程接入服務器發送認證拒絕報文，三層設備上線流程終止。
三層設備接入網絡后，終端隨時可以通過三層設備上線。
終端通過三層設備上線過程如下
終端開機，所述終端向三層設備發出上線請求；所述上線請求為動態主機 配置協議報文。三層設備接收到所述上線請求后，為終端動態分配IP地址；并 將所述IP地址封裝在動態主機配置協議報文中；然后將動態主機配置協議報文 發送給終端；所述終端獲得IP地址，才艮據所獲得的IP地址進行上線。
對于終端上線的問題，除了上述的技術方案，也可以對終端用戶的IP地址 進行手工配置，只需要保證終端之間的IP地址不重復，并且都在運營商分配的 合法網段之內即可。
通過以上的實施方式的描述，本領域普通技術人員可以理解實現上述實
施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成，所述
的程序可以存儲于一計算機可讀取存儲介質中，該程序在執行時，包括如上述方法實施例的步驟，所述的存儲介質，如R0M/RAM、；茲碟、光盤等。 本發明實施例提供了一種接入裝置，如圖6所示，包括 接收模塊6 01 ，用于接收專線用戶的三層設備的上線請求； 認證模塊602，用于根據所述接收模塊接收的上線請求對所述三層設備進行
認證；
地址分配模塊603,用于在所述認證模塊對所述三層設備認證通過后，為所 述三層設備動態分配IP地址。
如圖7所示，602、認證模塊具體包括
請求發送單元701，用于發出對所述三層設備的認證請求；
認證單元702，用于根據請求發送單元發送的請求對三層設備進行認證。
如圖8所示，603、地址分配模塊具體包括
地址分配單元801 ，用于為所述三層設備分配IP地址并將所述IP地址添加 到動態主機配置協議才艮文中；
發送單元802，用于向所述三層設備發送所述動態主機配置協議報文。
本發明實施例三層專線接入系統，如圖9所示，包括寬帶遠程接入服務器l; 所述寬帶遠程接入服務器1一端與遠程用戶撥號認證服務器2連接，另一端與局 域網交換機3的一端連接；該局域網交換機3的一端與三層設備4的一端連接。該 三層設備4的另 一端與終端5連接。
所述三層設備直接與用戶終端相連，如果終端數量較多，也可在用戶終端與 該三層設備之間連接有二層交換機，以增強三層設備負載終端的數量，提高用 戶網段的可擴展性。
其工作流程描述如下
用戶申請開通專線業務之后，運營商會將用戶信息導入其數據庫，并分配給用戶終端ip地址網^a，用戶可依此IP地址網^殳手動配置終端，也可將終端配
置為自動獲取IP地址，由三層設備依此IP地址網段給終端分配IP地址。
三層設備配置默認路由(指向寬帶遠程接入服務器)，并向寬帶遠程接入服
務器發出上線請求，上線請求為動態主機配置協議報文。
所述動態主機配置協議報文發送至局域網交換機時，局域網交換機會根據接
收報文的端口、 Vlan等位置信息在動態主機配置協議l良文中添加Option82，以 實現遠程用戶撥號認證系統對三層設備的物理位置進行認證，保證用戶使用專 線的安全性。
認證通過后，遠程用戶撥號認證服務器向寬帶遠程接入服務器發送認證通過 報文，該報文包括為所述三層設備分配的IP地址Framed-IP-Address以及指向 用戶終端網段的路由Framed-Route;寬帶遠程接入服務器接收到所述認證通過 報文后，將Framed-IP-Address封裝入動態主機配置協議報文，并下發給所述 三層設備，所述三層設備收到所述報文后，獲得IP地址上線。
本發明實施例三層專線接入系統中，寬帶遠程接入服務器可對專線用戶進 行統一的帶寬控制、QoS策略、流量統計、按照目的地址計費等，三層設備可對 各個用戶終端進行精準的業務權限和QoS的控制。
以上所述，僅為本發明的具體實施方式
，但本發明的保護范圍并不局限于 此，任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內，可輕易想到 變化或替換，都應涵蓋在本發明的保護范圍之內。因此，本發明的保護范圍應 以權利要求的保護范圍為準。
權利要求
1、一種三層專線接入方法，其特征在于，包括接收專線用戶的三層設備發送的上線請求；根據所述上線請求對所述三層設備進行認證；認證通過后，為所述三層設備動態分配IP地址。
2、 根據權利要求1所述的三層專線接入方法，其特征在于，還包括 所述三層設備接收終端的上線請求并根據所述上線請求為所述終端動態分配IP;也址。
3、 根據權利要求1所述的三層專線接入方法，其特征在于，所述上線請求 為DHCP上線請求，所述接收專線用戶的三層設備的上線請求的步驟為局域網交換機接收三層設備的DHCP上線請求； 局域網交換機在所述DHCP上線請求中添加DHCP Option82屬性； 局域網交換機將所述添加了 DHCP 0ption82屬性的上線請求轉發給寬帶遠 程接入服務器；寬帶遠程接入服務器接收所述添加了 DHCP 0ption82屬性的上線請求。
4、 根據權利要求3所述的三層專線接入方法，其特征在于，根據所述上線 請求對所述三層設備進行認證的步驟包括寬帶遠程接入服務器接收到所述添加了 DHCP Option82屬性的上線請求后， 向遠程用戶撥號認證服務器發出對所述三層設備的認證請求；遠程用戶撥號認證服務器根據所述認證請求對所述三層設備進行認證。
5、根據權利要求4所述的三層專線接入方法，其特征在于，認證通過后， 為所述三層設備動態分配IP地址的步驟包括若認證通過，遠程用戶撥號認證服務器向寬帶遠程接入服務器發送認證通過 報文，該才艮文包括為所述三層設備分配的IP地址Framed-IP-Address以及指向用戶終端網,殳的3各由Framed-Route;寬帶遠程接入服務器接收遠程用戶撥號認證服務器發送的認證通過報文； 從所述認證通過報文中提耳又Framed—IP—Address,將Framed-IP-Address添力口到 動態主機配置協議報文，并向所述三層設備發送所述動態主機配置協議報文。
6、 根據權利要求2所述的三層專線接入方法，其特征在于，所述三層設備 為終端動態分配IP地址的步驟之后還包括三層設備將所述地址封裝在動態主機配置協議報文中并將所述動態主機配 置協議報文發送給所述終端。
7、 一種接入裝置，其特征在于，包括接收模塊，用于接收專線用戶的三層設備的上線請求；認證模塊，用于根據所述接收模塊接收的上線請求對所述三層設備進行認證；地址分配模塊，用于在所述認證模塊對所述三層設備認證通過后，為所述三 層設備動態分配IP地址。
8、 根據權利要求7所述的接入裝置，其特征在于，所述認證模塊具體包括 請求發送單元，用于發出對所述三層設備的認證請求；認證單元，用于根據所述認證請求對三層設備進行認證。
9、 根據權利要求7所述的接入裝置，其特征在于，所述地址分配模塊包括 地址分配單元，用于為所述三層設備分配IP地址并將所述IP地址添加到動態主機配置協議報文中；發送單元，用于向所述三層設備發送所述動態主機配置協議報文。
10、 一種三層專線接入系統，其特征在于，包括專線用戶的三層設備和 寬帶遠程接入服務器；所述專線用戶的三層設備，用于向所述寬帶遠程接入服務器發送動態主機配置協議DHCP上線請求；所述寬帶遠程接入服務器，用于接收專線用戶的三層設備發送的動態主機 配置協議DHCP上線請求，對所述三層設備進行認證；認證通過后，為所述三層 設備動態分配IP地址。
11、 根據權利要求IO所述的三層專線接入系統，其特征在于，還包括遠程 用戶撥號認證服務器，所述寬帶遠程接入服務器對所述三層設備進行認證具體 為所述寬帶遠程接入服務器向所述遠程用戶撥號認證服務器發送認證請求， 請求對所述三層設備進行認證，并在所述遠程用戶撥號認證服務器對所述三層
12、 根據權利要求10或11所述的三層專線接入系統，其特征在于，所述 系統還包括局域網交換機，所述專線用戶的三層設備向所述寬帶遠程接入服務器發送動態主機配置協 議DHCP上線請求具體為所述三層設備向所述局域網交換機發送DHCP上線請求；所述局域網交換機在所述DHCP上線請求中中添加動態主機配置協議的第82 條屬性DHCP Option 82;并將所述添加了 DHCP Option 82的上線請求轉發給所 述遠程用戶撥號認證服務器。
全文摘要
本發明公開了一種三層專線接入方法、裝置及系統，涉及通信技術領域。解決了現有技術中可管理性/安全性差，以及IP地址浪費的問題。本發明提供的三層專線接入方法，包括接收專線用戶的三層設備發送的上線請求；根據所述上線請求對三層設備進行認證；認證通過后，為所述三層設備動態分配IP地址。本發明實施例在三層設備發出上線請求后，對其進行認證，不但保證了三層設備的安全性，而且便于對所有的三層專線分別進行帶寬控制、QoS策略、流量統計、按照目的地址計費等。認證通過后，為三層設備分配IP地址，下線后，該三層設備釋放所述IP地址；克服了三層設備固定占用一個IP地址的問題，節省了IP地址資源。
文檔編號H04L29/06GK101415032SQ20081017655
公開日2009年4月22日 申請日期2008年11月19日 優先權日2008年11月19日
發明者李教峰, 飛 王, 王建兵 申請人:華為技術有限公司